Planen der Authentifizierungseinstellungen für Webanwendungen in Office SharePoint Server

  • Artikel

Inhalt dieses Artikels

  • Planen von Authentifizierungseinstellungen

  • Planen von Authentifizierungsausschlüssen

  • Arbeitsblatt

In diesem Artikel werden die Konfigurationseinstellungen für die Authentifizierung beschrieben, deren Planung für die einzelnen Webanwendungen in Microsoft Office SharePoint Server 2007 erforderlich ist. Verwenden Sie für diesen Artikel das Dokument Arbeitsblatt "Authentifizierungseinstellungen von Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407). Füllen Sie ein Arbeitsblatt für jedes der folgenden Elemente aus, die Teil Ihres Lösungsentwurfs in Microsoft Office SharePoint Server 2007 sind:

  • Neue oder erweiterte Webanwendungen in Microsoft Office SharePoint Server 2007.

  • Zusätzliche Zonen in einer Webanwendung (neben der Standardzone). Berücksichtigen Sie auch Zonen, die für das Suchkonto erstellt wurden.

Planen von Authentifizierungseinstellungen

In diesem Abschnitt werden die einzelnen Einstellungen auf der Seite Authentifizierung bearbeiten der Website für die SharePoint-Zentraladministration erläutert. Zum Aufrufen dieser Seite klicken Sie auf der Seite Anwendungsverwaltung im Abschnitt Anwendungssicherheit auf Authentifizierungsanbieter. Klicken Sie auf die Zone, deren Authentifizierungseinstellungen Sie bearbeiten möchten. Die Seite Authentifizierung bearbeiten wird geöffnet.

Je nach den gewählten Authentifizierungsoptionen können Sie die Authentifizierungseinstellungen direkt beim Erstellen oder Erweitern der Webanwendung in Microsoft Office SharePoint Server 2007 angeben. Wenn Sie eine Webanwendung zum ersten Mal erstellen oder erweitern, stehen jedoch nicht alle Optionen zur Verfügung. Wenn Sie die Authentifizierung beim Erstellen oder Erweitern der Webanwendung nicht konfigurieren können, können Sie zunächst die entsprechenden Standardeinstellungen übernehmen und die Einstellungen anschließend auf der Seite Authentifizierung bearbeiten ändern.

Authentifizierungstyp

Wählen Sie die Methode aus, die Sie verwenden möchten. Wenn Sie statt der Implementierung einer Authentifizierungsmethode in diesem Abschnitt den anonymen Zugriff ermöglichen möchten, wählen Sie die Windows-Authentifizierung aus.

Wenn Sie Windows auswählen, geben Sie die Windows-Authentifizierungsmethode auf der Seite Authentifizierung bearbeiten im Abschnitt IIS-Authentifizierungseinstellungen an. Wenn Sie Formulare oder Einmalige Webanmeldung auswählen, ändern sich die Optionen auf der Seite Authentifizierung bearbeiten, und Sie können den Namen des Mitgliedschaftsanbieters sowie den Namen des Rollen-Managers eingeben.

Wenn Sie die Zertifikatauthentifizierung oder die Kerberos-Authentifizierung verwenden möchten, können Sie mithilfe der folgenden Tabelle die für diese Methoden erforderlichen zusätzlichen Konfigurationsschritte ermitteln.

Authentifizierungsmethode Zusätzliche Konfiguration Spezielle Rollen

Zertifikate

  1. Wählen Sie in der Zentraladministration die Windows-Authentifizierung aus.

  2. Konfigurieren Sie Internetinformationsdienste (IIS) für Zertifikate.

  3. Aktivieren Sie Secure Sockets Layer (SSL).

  4. Fordern Sie Zertifikate von einer Zertifizierungsstelle an und konfigurieren Sie diese.

Microsoft Windows Server 2003-Administrator zum Anfordern und Konfigurieren von Zertifikaten

Kerberos (Integrierte Windows-Authentifizierung)

  1. Wählen Sie in der Zentraladministration die Kerberos-Authentifizierung aus.

  2. Konfigurieren Sie einen Dienstprinzipalnamen (SPN) für das Domänenbenutzerkonto, das für die Identität des Anwendungspools (Anwendungspool-Verarbeitungskonto) verwendet wird.

  3. Registrieren Sie den SPN für das Domänenbenutzerkonto in Active Directory.

IIS-Administrator
Arbeitsblattaktion

Notieren Sie die zusätzlich erforderlichen Konfigurationsschritte im Abschnitt "Additional Configuration" (Zusätzliche Konfiguration) des Arbeitsblatts "Authentifizierungseinstellungen für Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407).

Anonymer Zugriff

Geben Sie an, ob ein anonymer Zugriff möglich ist. Aktivieren Sie das Kontrollkästchen Anonymen Zugriff aktivieren, wenn Sie im Abschnitt Authentifizierungstyp die Option Formulare oder die Option Einmalige Webanmeldung ausgewählt haben.

Clientintegration

Durch das Deaktivieren der Clientintegration werden Features zum Starten von Clientanwendungen entfernt. Diese Konfiguration eignet sich optimal für Szenarien wie das Veröffentlichen von schreibgeschütztem Inhalt für anonymen Zugriff im Internet. Darüber hinaus können Sie die Clientintegration durch Auswählen der ASP.NET-Formularauthentifizierung oder der Authentifizierung durch einmalige Webanmeldung (SSO) standardmäßig deaktivieren.

Falls Microsoft Office SharePoint Server 2007 mit Service Pack 2 (SP2) installiert ist, wird die Clientintegration mit Ausnahme der Outlook-Integration unterstützt. Alle anderen Clients können integriert werden, einschließlich SharePoint Designer für die Dokumenterstellung.

Hinweis

Wenn Office SharePoint Server 2007 mit SP2installiert ist und die formularbasierte Authentifizierung verwendet wird, ist die Clientintegration standardmäßig deaktiviert. Vor Office SharePoint Server 2007 mit SP2 unterstützt die Clientintegration nativ keine formularbasierte Authentifizierung.

Erwartetes Verhalten bei deaktivierter Clientintegration

Wenn die Clientintegration deaktiviert wurde, weisen Websites folgendes Verhalten auf:

  • Verknüpfungen zum Starten von Clientanwendungen werden nicht angezeigt.

  • Dokumente werden im Browser geöffnet und können nicht mit Clientanwendungen geöffnet werden.

  • Dokumente auf der Website können nicht direkt mit Clientanwendungen bearbeitet werden. Dokumente können jedoch heruntergeladen, bearbeitet und anschließend wieder hochgeladen werden.

Die folgende Tabelle enthält spezielle Menübefehle und Features, die nicht verfügbar sind, wenn die Clientintegration deaktiviert wurde.

Kategorie Befehl oder Feature (nicht verfügbar)

Symbolleisten

Neues Dokument

Verwenden von Microsoft Office Outlook

Öffnen in Windows Explorer

In ein Tabellenblatt exportieren

Mit Datenbankprogramm öffnen

Bearbeiten von Dokumenten

Bearbeiten in Microsoft Office-Anwendungen wie Word und Excel.

Ansichten

Explorer-Ansicht

Erstellen einer Access-Ansicht

Bildbibliotheken

Mehrfachupload

Bild bearbeiten

Herunterladen

Senden an

Folienbibliotheken

Folien veröffentlichen

An Microsoft Office PowerPoint senden

Sonstige

Diskutieren

Verbinden mit Office Outlook

Verhalten spezieller Authentifizierungsmethoden

Neben dem Bereitstellungsszenario (z. B. Veröffentlichung von schreibgeschütztem Inhalt) kann die Wahl der Authentifizierungsmethode auch Auswirkungen auf die Konfiguration der Clientintegration haben. Einige Authentifizierungsmethoden weisen ein abweichendes Verhalten in Verbindung mit Clientanwendungen auf; in einigen Fällen ist das Verhalten auch davon abhängig, ob Clientbrowser für beständige Cookies oder Sitzungscookies konfiguriert wurden.

Die folgende Tabelle fasst mögliche Verhaltensweisen der Clientintegration bei bestimmten Authentifizierungsmethoden zusammen.

Authentifizierungsmethode Verhalten

Standard

Benutzer werden aufgefordert, ihre Anmeldeinformationen einzugeben, wenn sie auf ein Dokument zugreifen möchten. Das Eingeben der Anmeldeinformationen kann für andere Features erneut notwendig sein.

ASP.NET-Formulare und Web-SSO

Wenn die folgenden Bedingungen zutreffen, wird ein beständiges Cookie erstellt:

  • Der Authentifizierungsanbieter unterstützt beständige Cookies.

  • Benutzer klicken beim Anmelden auf Automatisch anmelden.

Das beständige Cookie wird von allen Anwendungen verwendet, die sich einen Cookiespeicher teilen, und Dokumente können vom Benutzer in Clientanwendungen geöffnet werden. Beständige Cookies werden mit einem Standard-Timeoutwert von 30 Minuten erstellt. Dieser Wert kann durch Hinzufügen oder Aktualisieren des Timeoutparameters im Formularknoten der Datei web.config geändert werden. Beispiel:

<forms loginUrl="login.aspx" name=".ASPXFORMSAUTH" timeout="100" />

Nachdem das Cookie abgelaufen ist, ist die Clientintegration nicht mehr funktionsfähig. Benutzer, die einen Browser verwenden, werden aufgefordert, ihre Anmeldeinformationen erneut einzugeben.

Wenn beständige Cookies vom Authentifizierungsanbieter nicht unterstützt werden, oder wenn Benutzer bei der Anmeldung nicht auf Automatisch anmelden klicken, wird ein Sitzungscookie verwendet. Sitzungscookies sind nur für den Browser zugreifbar. Dokumente können vom Benutzer nicht direkt in Clientanwendungen geöffnet werden.

Deaktivieren Sie die Clientintegration, wenn beständige Cookies vom Authentifizierungsanbieter nicht unterstützt werden oder in Ihrer Umgebung nicht zulässig sind. Beispielsweise werden beständige Cookies von Active Directory-Verbunddiensten (AD FS) nicht unterstützt.

Anonym

Wenn sie versuchen, ein Dokument zu öffnen, werden Benutzer wiederholt aufgefordert, ihre Anmeldeinformationen einzugeben. Wenn Sie im Authentifizierungsdialogfeld 10 Mal auf Abbrechen klicken, wird das Dokument von der Website möglicherweise dennoch unter Verwendung der Clientanwendung geöffnet. Aufgrund dieser Erfahrungen wird empfohlen, die Clientintegration in Szenarien mit anonymem Zugriff zu deaktivieren.

Windows Vista mit Internet Explorer 7

Internet Explorer 7 enthält unter Windows Vista ein zusätzliches Sicherheitsfeature für den geschützten Modus. Dieser Modus ist standardmäßig für die Zonen Internet, Intranet und Eingeschränkte Sites aktiviert. Da dieses Feature beständige Cookies an einem Speicherort ablegt, der die anwendungsübergreifende Verwendung verhindert, wird die Clientintegration nicht ordnungsgemäß ausgeführt.

Gehen Sie wie folgt vor, um Internet Explorer 7 für die Clientintegration zu konfigurieren:

  • Deaktivieren Sie den geschützten Modus.

  • Fügen Sie der Zone vertrauenswürdiger Websites in Internet Explorer SharePoint-Websites hinzu, wenn der geschützte Modus aktiviert ist.

Informationen zum Deaktivieren des geschützten Modus erhalten Sie im Abschnitt "Configuring Protected Mode" unter Grundlegendes zur Arbeit im geschützten Modus in Internet Explorer (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=78098&clcid=0x407).

Testen der Clientintegrationseinstellungen

Wenn Sie nicht sicher sind, ob die Einstellungen für die Clientintegration ordnungsgemäß konfiguriert wurden, können Sie diese vor dem Bereitstellen in der Produktionsumgebung in einer Testumgebung überprüfen. Alle Änderungen, die nach diesem Schritt vorgenommen werden, können zu ungewöhnlichem Verhalten von Websites und Clientanwendungen führen.

Arbeitsblattaktion

Wählen Sie im Dokument Arbeitsblatt "Authentifizierungseinstellungen für Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407) im Abschnitt Enable Client Integration (Clientintegration aktivieren) Yes oder No aus.

Einstellungen für die ASP.NET-Formularauthentifizierung und für Web-SSO

Wenn Sie die ASP.NET-Formularauthentifizierung oder WEB-SSO implementieren, müssen Sie die Konfigurationseinstellungen für die entsprechenden web.config-Dateien entwickeln. Beispiele ordnungsgemäß konfigurierter Zeichenfolgen für verschiedene gängige Szenarien finden Sie unter Authentifizierungsbeispiele.

Arbeitsblattaktion

Geben Sie im Dokument Arbeitsblatt "Authentifizierungseinstellungen für Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407) folgende Informationen ein:

  • Name Der Name des Mitgliedschaftsanbieters, des Rollen-Managers sowie des HTTP-Moduls (sofern erforderlich). Diese Namen werden auf der Website für die Zentraladministration angezeigt.

  • Web.config-Konfiguration Fügen Sie die entsprechenden Konfigurationszeichenfolgen in das Arbeitsblatt ein. Die Zeichenfolgen können beim Bereitstellen der Webanwendung vom Arbeitsblatt für die web.config-Dateien konfiguriert werden.

Vergewissern Sie sich, dass der Name des Mitgliedschaftsanbieters (MembershipProvider) und der Name des Rollen-Managers (RoleManager), die in der web.config-Datei registriert wurden, den Namen entsprechen, die auf der Seite authentication.aspx der Zentraladministration eingegeben wurden. Wenn in der web.config-Datei kein Rollen-Manager eingeben wird, kann der Standardanbieter in der Datei machine.config verwendet werden.

Die folgende Zeichenfolge in einer Web.config-Datei gibt beispielsweise einen SQL-Mitgliedschaftsanbieter an:

<membership defaultProvider="AspNetSqlMembershipProvider">

Weitere Informationen zu Anforderungen für Mitgliedschaftsanbieter und Rollen-Manager erhalten Sie unter "Connect to identity management systems that are not based on Windows or that are external" (Herstellen einer Verbindung zu Identity Management-Systemen, die nicht auf Windows basieren, oder zu externen Identity Management-Systemen) unter Planen von Authentifizierungsmethoden (Office SharePoint Server).

Planen von Authentifizierungsausschlüssen

Wenn Sie ASP.NET-Formularauthentifizierungen oder Web-SSOs planen, müssen Sie Authentifizierungsausschlüsse berücksichtigen. Wenn Sie die Windows-Authentifzierung implementieren, können Sie diesen Abschnitt überspringen.

Wenn Sie eine Webanwendung erstellen oder erweitern, oder wenn Sie einer Webanwendung eine Zone hinzufügen, wird in IIS eine neue Website erstellt. Die Authentifizierungs-Einstellungen in der web.config-Datei für diese Webanwendung werden von virtuellen Verzeichnissen unterhalb der Website geerbt. Virtuelle Verzeichnisse, die in Microsoft Office SharePoint Server 2007 unterhalb der Webanwendung hinzugefügt werden, werden nicht in Microsoft Office SharePoint Server 2007 verwaltet und als ausgeschlossene virtuelle Verzeichnisse angesehen.

Wenn Sie die ASP.NET-Formularauthentifizierung oder Web-SSO implementieren und virtuelle Verzeichnisse unterhalb dieser Websites hinzufügen möchten, müssen Sie festlegen, ob diese ausgeschlossenen virtuellen Verzeichnisse die ASP.NET-Formularauthentifizierung oder Web-SSO erben sollen.

Arbeitsblattaktion

Geben Sie im Dokument Arbeitsblatt "Authentifizierungseinstellungen für Webanwendungen" (in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=73334&clcid=0x407) an, ob ausgeschlossene virtuelle Verzeichnisse in IIS unter der Website hinzugefügt werden, die der Webanwendung in Microsoft Office SharePoint Server 2007 entspricht. Notieren Sie außerdem, ob ggf. Authentifizierungseinstellungen vererbt werden sollen.

Mit dem folgenden Verfahren können Sie IIS so konfigurieren, dass keine Authentifizierungseinstellungen vererbt werden.

Konfigurieren von IIS ohne Vererbung von Authentifizierungseinstellungen

  1. Fügen Sie unterhalb der IIS-Website, die der entsprechenden Webanwendung oder Zone in Microsoft Office SharePoint Server 2007 entspricht, ein neues virtuelles IIS-Verzeichnis hinzu.

  2. Klicken Sie im IIS-Manager mit der rechten Maustaste auf das neue virtuelle Verzeichnis und anschließend auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Virtuelles Verzeichnis.

  4. Klicken Sie auf Erstellen (macht das virtuelle Verzeichnis zu einer Anwendung).

  5. Klicken Sie auf Konfiguration.

  6. Wählen Sie die Anwendungsplatzhalter aus, und klicken Sie auf Entfernen.

  7. Klicken Sie auf Ja und dann auf OK.

  8. Erstellen Sie eine neue web.config-Datei im Stammverzeichnis des Dateisystempfads für das neue virtuelle Verzeichnis, und fügen Sie folgende Einträge hinzu:

    <?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<configuration>
 <system.web>
  <httpModules>
   <clear />
  </httpModules>
  <httpHandlers>
   <clear />
  </httpHandlers>
 </system.web>
</configuration>

Arbeitsblatt

Mit dem folgenden Arbeitsblatt können Sie die Konfigurationseinstellungen für die einzelnen Webanwendungen in Microsoft Office SharePoint Server 2007 planen.

Herunterladen dieses Buchs

Dieses Thema wurde zum leichteren Lesen und Ausdrucken in das folgende Buch zum Herunterladen aufgenommen:

Die vollständige Liste der verfügbaren Bücher finden Sie unter Inhalte zum Herunterladen für Office SharePoint Server 2007.